Запитання з тегом «authentication»

Автентифікація - це дія одного суб'єкта, що підтверджує свою особу іншій особі. Поширені приклади стосуються криптографії відкритого ключа. Наприклад, доведення того, що банківський веб-сайт насправді належить тому банку, який ви вважаєте, що це робить.

7
Чи приватні непридатні URL-адреси еквівалентні автентифікації на основі пароля?
Я хочу викрити ресурс в Інтернеті. Я хочу захистити цей ресурс: переконатися, що він доступний лише певним особам. Я міг би встановити якусь автентифікацію на основі пароля . Наприклад, я міг дозволити доступ до ресурсу лише через веб-сервер, який перевіряє вхідні запити на правильні облікові дані (можливо, проти деяких резервних …

8
Чи відбитка пальців браузера є життєздатною методикою визначення анонімних користувачів?
Чи є відбитка пальців браузера достатньою методикою для однозначної ідентифікації анонімних користувачів? Що робити, якщо ви включили біометричні дані, такі як жести миші або введення шаблонів? Днями я натрапив на експеримент з Panopticlick, EFF працює на відбитках браузера . Звичайно, я одразу подумав про наслідки конфіденційності та про те, як …

3
JSON Web Token - чому корисна навантаження є загальнодоступною?
Я не можу зрозуміти міркування для того, щоб зробити претензії / корисне навантаження JWT загальнодоступними після розшифровки base64. Чому? Здається, було б набагато корисніше зашифрувати секрет. Чи може хтось пояснити, чому або в якій ситуації зберігання цих даних є загальнодоступним?

2
Аутентифікація на основі файлів cookie vs Session vs Token на основі претензій
Я читав про автентифікацію і став заплутаним щодо класифікації типів. Почнемо з аутентифікації на основі файлів cookie. Якщо я правильно це зрозумів, ключовим моментом є те, що всі дані, необхідні для автентифікації користувача, зберігаються у файлах cookie. І це моя перша плутанина: у файлах cookie ми можемо зберігати ідентифікатор сесії, …

4
Як я повинен архітектувати RESTful веб-сервіс для використання третьої сторони (тобто Google, Facebook, Twitter) для аутентифікації?
Для моєї роботи у нас є чудова веб-служба RESTful, яку ми створили, щоб використовувати декілька веб-сайтів, які ми маємо. В основному веб-сервіс дозволяє створювати та працювати з підтримкою квитків, а веб-сайт відповідає за передню частину. Будь-які запити веб-сервісу використовують аутентифікаційний заголовок, який ми використовуємо для перевірки користувача та його пароля …

1
Де розмістити ключ API: спеціальний заголовок HTTP VS заголовок авторизації за спеціальною схемою
Я розробляю API REST за допомогою авторизації / автентифікації за допомогою ключа API. Я спробував розібратися, яке найкраще місце для цього, і з’ясував, що багато людей пропонують використовувати власний заголовк HTTP ProjectName-Api-Key, наприклад, наприклад: ProjectName-Api-Key: abcde але також можливо і ідеологічно правильно використовувати Authorizationзаголовок із власною схемою, наприклад: Authorization: ApiKey …

2
Діліться приватними ключами SSH з Bash у Windows
У мене встановлена ​​Windows 10 з Git. Цей Git використовує мій C:/Users/MyNamedir як каталог HOME та /.ssh/dir всередині, відповідним чином для отримання моїх приватних SSH ключів. Я щойно ввімкнув і встановив "Bash на Ubuntu для Windows" (що за рот!) І також встановив Git у ньому. Я хотів би, щоб обидва …

2
Чи потрібно зберігати претензії користувачів у маркері JWT?
Я використовую маркери JWT у заголовках HTTP для автентифікації запитів на сервері ресурсів. Сервер ресурсів і сервер auth - це дві окремі робочі ролі в Azure. Я не можу вирішити, чи варто зберігати претензії в токені чи додавати їх до запиту / відповіді іншим способом. Список претензій впливає на надання …

3
Обробка оновлення токена / закінчення сеансу в API RESTful
Я будую API RESTful, який використовує маркери JWT для автентифікації користувача (видається loginкінцевою точкою та надсилається після цього у всі заголовки), і маркери потрібно renewоновити через певний час (викликаючи кінцеву точку, яка повертає оновлений маркер ). Можливо, сеанс API користувача стає недійсним до закінчення терміну дії маркера, отже, всі мої …

2
Як API повинен використовувати основну автентифікацію http
Коли API вимагає, щоб клієнт перевіряв автентифікацію на нього, я бачив два різні сценарії, що використовуються, і мені цікаво, у якому випадку я повинен використовуватись для своєї ситуації. Приклад 1. Компанія пропонує API, щоб дозволити третім сторонам аутентифікувати маркер та секрет за допомогою HTTP Basic. Приклад 2. API приймає ім'я …

1
Захист API REST: HMAC / хешування ключів проти JWT
Я щойно прочитав цю статтю, якій вже кілька років, але описує розумний спосіб забезпечення ваших REST API. По суті: У кожного клієнта є унікальна пара відкритих та приватних ключів Тільки клієнт і сервер знають приватний ключ; він ніколи не надсилається по дроту З кожним запитом клієнт приймає кілька входів (сам …

1
Перевірте автентифікацію нативного мобільного додатка за допомогою REST API
Я незабаром розпочинаю новий проект, який націлений на мобільний додаток для всіх основних мобільних платформ (iOS, Android, Windows). Це буде архітектура клієнт-сервер. Додаток є інформаційним та транзакційним. Для трансакційної частини вони повинні мати обліковий запис та увійти, перш ніж здійснити транзакцію. Я новачок у розробці мобільних пристроїв, тому не знаю, …

5
Система авторизації та аутентифікації для мікросервісів та споживачів
Ми плануємо перетворити систему нашої компанії в систему, що базується на мікропослугах. Ці мікросервіси будуть використовуватися нашими власними внутрішніми додатками компанії та сторонніми партнерами, якщо це потрібно. Один для бронювання, один для продуктів тощо. Ми не впевнені, як поводитися з ролями та сферами застосування. Ідея полягає у створенні 3 основних …

7
Як архітектуру автентифікації користувачів з клієнтських додатків?
Я розробляв додаток, який підтримуватиме багатьох користувачів. Справа в тому, що я не в змозі зрозуміти, як автентифікувати клієнта / користувача. Я будую такий додаток, як http://quickblox.com/, де я дам облікові дані своїм користувачам, і вони використовуватимуть їх для створення N додатків, у яких вони не можуть ввести своє ім’я …

3
Аутентифікація в Інтернеті за допомогою PKI Certs
Я добре розумію PKI з концептуальної точки зору - тобто приватні ключі / відкриті ключі - математика за ними, використання хешу та шифрування для підписання сертифіката, цифрове підписання транзакцій або документів тощо. Я також працював над проектами, де openssl Бібліотеки C використовувались із certs для забезпечення зв'язку та аутентифікації. Я …

Використовуючи наш веб-сайт, ви визнаєте, що прочитали та зрозуміли наші Політику щодо файлів cookie та Політику конфіденційності.
Licensed under cc by-sa 3.0 with attribution required.